एक सुरक्षा संशोधक म्हणतो की मोठ्या प्रमाणात वापरल्या जाणार्या दरवाजाच्या प्रवेश नियंत्रण प्रणालीमध्ये पाठविलेला डीफॉल्ट संकेतशब्द कोणालाही यूएस आणि कॅनडाच्या डझनभर इमारतींमध्ये दरवाजाच्या कुलूप आणि लिफ्ट नियंत्रणे सहज आणि दूरस्थपणे प्रवेश करण्यास परवानगी देतो.
आता एंटरफोन जाळीच्या दरवाजाच्या प्रवेश प्रणालीची मालकी असलेली कंपनी हिरश असुरक्षिततेचे निराकरण करणार नाही, असे सांगत आहे की बग डिझाइनद्वारे आहे आणि ग्राहकांनी कंपनीच्या सेटअपच्या सूचनांचे पालन केले पाहिजे आणि डीफॉल्ट संकेतशब्द बदलला पाहिजे.
यामुळे उत्तर अमेरिकेतील डझनभर उघड्या निवासी आणि कार्यालयीन इमारती सोडल्या आहेत ज्यांनी अद्याप त्यांच्या प्रवेश नियंत्रण प्रणालीचा डीफॉल्ट संकेतशब्द बदलला नाही किंवा त्यांना पाहिजे आहे याची माहिती नाही, एरिक डायगलच्या मतेज्याला डझनभर उघड्या इमारती सापडल्या.
डीफॉल्ट संकेतशब्द असामान्य नाहीत किंवा इंटरनेट-कनेक्ट केलेल्या डिव्हाइसमध्ये एक रहस्य नाही; उत्पादनांसह पाठविलेले संकेतशब्द सामान्यत: ग्राहकांसाठी लॉगिन प्रवेश सुलभ करण्यासाठी डिझाइन केलेले असतात आणि बर्याचदा त्यांच्या सूचना मॅन्युअलमध्ये आढळतात. परंतु भविष्यातील कोणत्याही दुर्भावनायुक्त प्रवेशास प्रतिबंध करण्यासाठी डीफॉल्ट संकेतशब्द बदलण्यासाठी ग्राहकावर अवलंबून राहणे तरीही सुरक्षा असुरक्षा म्हणून वर्गीकरण करते उत्पादनातच.
हिर्शच्या दरवाजाच्या प्रवेश उत्पादनांच्या बाबतीत, सिस्टम स्थापित करणार्या ग्राहकांना डीफॉल्ट संकेतशब्द बदलण्याची सूचना दिली जात नाही किंवा आवश्यक नाही.
अशाच प्रकारे, डेगलला सुरक्षा बगच्या शोधाचे श्रेय दिले गेले, औपचारिकरित्या नियुक्त केले गेले सीव्हीई -2025-26793?
नियोजित निराकरण नाही
इंटरनेट-कनेक्ट केलेल्या डिव्हाइससाठी डीफॉल्ट संकेतशब्द फार पूर्वीपासून समस्या आहेत, दुर्भावनायुक्त हॅकर्सना संकेतशब्द वापरण्याची परवानगी दिली गेली आहे की ते योग्य मालक आहेत आणि डेटा चोरी करा किंवा सायबरॅटॅक लॉन्च करण्यासाठी त्यांच्या बँडविड्थचा उपयोग करण्यासाठी डिव्हाइस अपहृत करा. अलिकडच्या वर्षांत, सरकारने तंत्रज्ञान निर्मात्यांना असुरक्षित डीफॉल्ट संकेतशब्द वापरण्यापासून दूर नेण्याचा प्रयत्न केला आहे.
हिर्शच्या दरवाजाच्या प्रवेश प्रणालीच्या बाबतीत, बगला असुरक्षिततेच्या तीव्रतेच्या स्केलवर 10 पैकी 10 म्हणून रेट केले जाते, जे कोणी त्याचा गैरफायदा घेऊ शकतो त्या सहजतेबद्दल धन्यवाद. व्यावहारिकदृष्ट्या सांगायचे तर, बगचे शोषण करणे हे हर्शच्या वेबसाइटवरील सिस्टमच्या स्थापनेच्या मार्गदर्शकामधून डीफॉल्ट संकेतशब्द घेणे आणि कोणत्याही प्रभावित इमारतीच्या सिस्टमवरील इंटरनेट-फेसिंग लॉगिन पृष्ठावर संकेतशब्द प्लग करणे इतके सोपे आहे.
मध्ये एक ब्लॉग पोस्टडाईगले म्हणाले की, त्याच्या मूळ गावी व्हँकुव्हरमधील एका इमारतीत हिरश-मेड एंटरफोन जाळीच्या दरवाजाच्या प्रवेशाच्या पॅनेलपैकी एक शोधल्यानंतर गेल्या वर्षी त्याला असुरक्षा सापडली. इंटरनेटशी कनेक्ट केलेल्या एंटरफोन जाळीच्या यंत्रणेचा शोध घेण्यासाठी डेगलने इंटरनेट स्कॅनिंग साइट झूमयचा वापर केला आणि अद्याप डीफॉल्ट-शिप केलेल्या क्रेडेन्शियल्सवर अवलंबून असलेल्या 71 सिस्टम सापडल्या.
डेगल म्हणाले की डीफॉल्ट संकेतशब्द जाळीच्या वेब-आधारित बॅकएंड सिस्टममध्ये प्रवेश करण्यास अनुमती देते, जे बिल्डिंग मॅनेजर लिफ्ट, सामान्य क्षेत्र आणि कार्यालय आणि निवासी दरवाजाच्या कुलूपांमध्ये प्रवेश व्यवस्थापित करतात. प्रत्येक प्रणाली स्थापित केलेल्या जाळीच्या प्रणालीसह इमारतीचा भौतिक पत्ता प्रदर्शित करते, ज्यामुळे लॉग इन करणार्या कोणालाही कोणत्या इमारतीत प्रवेश आहे हे जाणून घेण्यास अनुमती देते.
डाईगले म्हणाले की, लक्ष वेधून घेतल्याशिवाय काही मिनिटांत डझनभर बाधित इमारतींमध्ये प्रभावीपणे तोडणे शक्य आहे.
हस्तक्षेप वाचा कारण हिर्शकडे डाईगल सारख्या लोकांच्या सदस्यांसाठी कंपनीला सुरक्षा दोष नोंदवण्यासाठी एक असुरक्षितता प्रकटीकरण पृष्ठ यासारख्या साधनांकडे नाही.
हिर्शचे मुख्य कार्यकारी अधिकारी मार्क len लन यांनी वाचनासाठी वाचलेल्या विनंतीला प्रतिसाद दिला नाही परंतु त्याऐवजी ज्येष्ठ हिर्श प्रॉडक्ट मॅनेजरला पुढे ढकलले, ज्यांनी वाचनात सांगितले की कंपनीचा डीफॉल्ट संकेतशब्द वापर “कालबाह्य” आहे (हे न सांगता). प्रॉडक्ट मॅनेजर म्हणाले की हे “तितकेच संबंधित” आहे की असे ग्राहक आहेत जे “स्थापित केले गेले आहेत आणि उत्पादकांच्या शिफारशींचे पालन करीत नाहीत,”, हर्शच्या स्वत: च्या स्थापनेच्या सूचनांचा संदर्भ.
बगबद्दल सार्वजनिकपणे तपशील उघड करण्याचे काम हिर्स यांनी केले नाही, परंतु उत्पादनाच्या सूचना पुस्तिका पाळण्याबद्दल त्यांनी आपल्या ग्राहकांशी संपर्क साधला असल्याचे सांगितले.
बगचे निराकरण करण्यास तयार नसल्यामुळे, काही इमारती – आणि त्यांचे रहिवासी – उघडकीस येण्याची शक्यता आहे. बग दर्शवितो की वर्षांनंतर रिअल-वर्ल्डचे परिणाम मिळविण्यासाठी येटेरियरमधील उत्पादनाच्या विकासाच्या निवडी परत येऊ शकतात.
Comments are closed.